Bagle.B
Sanal zararli, farkli dosya isimleri ve “AU, EXE” gibi uzantilara sahip olabilen e-posta eklentisinde saklaniyor. Bu dosya Windows Media Player ile iliskilendirilmis ancak kurt, alici tarafindan etkinlestirildigi zaman zarar vermeye basliyor.
????: Web Hattı - Türkiyenin En Güncel Forumu /program-download/1247-yeni-cikan-virusler.html
Yogun mail trafigi ve arka kapi
Yeni versiyon “Bagle” çift tiklama sonrasinda kendisini, Windows adres defterinde bulunan tüm kayitlara otomatik olarak gönderiyor. Kurt, bunun için kendi SMTP motorunu kullaniyor. Ayrica bu kurdun yazari, 8866 numarali TCP portunu açik birakan bir de Backdoor bileseni eklemis.
“Bagle.B” söz konusu portu kullanarak sahibi ile haberlesiyor. Kurt, bir bilgisayarin daha etkilendigini bildiriyor ve muhtemelen rast gele olusturulan bir tanimlama numarasi gönderiyor. Sanal kurt, Windows Kayit Defteri’ne ekledigi yeni bir kayit ile de sistem açilislarinda otomatik olarak çalisiyor.
Download:
Panda Software Removal-Tool
BitDefender Removal-Tool
MyDoom & DoomJuice
26 Ocak\'tan bu yana Windows tabanli sistemlerin basagrisi haline gelen Mydoom virüsü, yeni varyantlariyla birlikte ortaligi kasip kavurmaya devam ediyor. Iste bu virüs hakkinda merak ettiginiz her seyi bulabileceginiz, nasil korunacaginizi ögrenebileceginiz bir rehber. Mydoom, antivirüs firmalari tarafindan hâlâ yüksek tehdit grubunda gösteriliyor. Son olarak ortaya çikan Doomjuice adli varyantiysa, daha önce Mydoom\'un bulastigi makinelerdeki gediklerden yararlaniyor. Rehberimizi okuyarak, Mydoom\'dan ve varyantlarindan nasil korunacaginzi ögrenebilirsiniz.
Mydoom, antivirüs firmalari tarafindan hâlâ yüksek tehdit grubunda gösteriliyor. Son olarak ortaya çikan Doomjuice adli varyantiysa, daha önce Mydoom\'un bulastigi makinelerdeki gediklerden yararlaniyor. Rehberimizi okuyarak, Mydoom\'dan ve varyantlarindan nasil korunacaginzi ögrenebilirsiniz.
Mydoom nedir?
Mydoom, Microsoft programlarini hedefleyen bir dizi virüsten biri.
Virüs, Outlook\'taki açiklari kullaniyor ve bulastigi sistemin adres defterindeki adreslere kendini e-posta yoluyla gönderiyor. Mydoom, ayni zamanda Novarg ve Mimail_r adlariyla da biliniyor. Virüsü, gönderdigi e-postalardaki konu satirindan (subject) tanimak mümkün.
Konu satirina bakarak, mesaji bir e-posta hatasi sanmak mümkün. Mesajin ekindeyse, hatanin nedenini açiklar gibi görünen bir metin dosyasi yer alabiliyor. Kullanici mesajina ne oldugunu anlamak üzere bu dosyaya tikladiginda, virüs sistemine bulasmis oluyor.
Ne kadar yaygin?
Mydoom oldukça hizli yayiliyor; hatta simdiye dek en hizli yayilan virüs oldugu bile söylenebilir. E-posta filtreleme isiyle ugrasan MessageLabs sirketinin verilerine göre, gönderilen her 12 e-posta mesajindan biri Mydoom\'a ait. Bundan en önce en hizli yayilan virüs unvanini elinde bulunduran Sobif-F ise, ancak her 17 mesajdan birine bulasabilmeyi basarmisti.
MessageLabs\'e göre, virüs ortaya çikisindan sonraki 16 gün içinde 38 milyon kopyayla, tarihin en aktif virüsü.
Finlandiya merkezli antivirüs firmasi F-Secure, Mydoom\'un simdiye dek karsilasilan en belali e-posta virüsü oldugunu, e-posta trafiginin yaklasik %30\'unu kapladigini açikladi.
Bu rakamlara, virüsün kendi yarattigi mesajlar, sistemlerin gelen virüslü mesaja verdikleri otomatik yanitlar ve virüslü mesaji alip da digerlerine "Bana virüs bulastiriyorsun" diye mesaj atan kizgin kullanicilarin iletileri de dahil. Virüs gönderdigi mesajlarin "Gönderen" bilgisini de degistirdigi için, bu mesajlar daha da çok trafige neden oluyor.
Rusya kaynakli oldugu düsünülen virüs 200 ülkeye yayilmis durumda. Bu kadar hizli yayilmasinin altindaysa, ABD\'deki is günü sirasinda ortaya çikmis ve hizla büyük sirketlerin iletisim agina girmis olmasi yatiyor.
Mydoom bulastigi makineye ne yapiyor?
Her seyden önce, Mydoom\'un yalnizca Windows tabanli sistemlerde etkili oldugunu söyleyelim. Virüs, Outlook\'taki adres defterini tarayarak kendini gönderecegi yeni adresler buluyor. Ardindan kendi e-posta motorunu kullanarak kendi kendini gönderiyor. Bu arada, açiga çikma riskini ortadan kaldirmak için de, kendini antivirüs firmalarinin, devlet kuruluslarinin ve askeri kurumlarin adreslerine göndermiyor.
Virüs, ayni zamanda, bulastigi sistemlerin antivirüs firmalarinin Web sitelerine baglanip son güncellemeleri indirmelerine de engel olmaya çalisiyor.
Daha da kötüsü, Mydoom bulastigi makinelerde bir arka kapi, yani bir gedik açiyor; böylece, dogru aaçlara ve bilgiye sahip olan herkes bu gedikten yararlanip sisteme sizabiliyor. ANtivirüs ve güvenlik firmalari, virüslü makineleri bulmak için yapilan rasgele taramalarin sayisinin arttigina dikkat çekiyor.
Virüs ve daha sonra ortaya çikan Mydoom.b varyanti, bir yandan da, 1 Subat\'tan sonra DOS saldirilari (Denial of Service Attack - Hizmetin Reddi Saldirilari) denilen türden bir saldiriyi düzenlemek üzere programlanmis durumdalar. Virüsün bulastigi makineler, arka planda SCO sirketinin Web sitesine sürekli olarak baglanmaya çalistiklari için, sirketin Web sitesi geçici olarak çökmüstü. Virüsün yeni varyanti Doomjuice ise, ayni saldirilari Microsoft\'un Web sitesine yönlendirmek üzere programlanmis durumda.
????: Web Hattı - Türkiyenin En Güncel Forumu
Virüs: W32/Netsky.C-mm
Virüs: W32/Netsky.C-mm
Diger isimleri: WORM_NETSKY.C (Trend Micro)
I-Worm/Netsky.C (Grisoft)
W32.Netsky.C@mm (NAV)
W32/Netsky.C.worm (Panda)
Tipi: Internet solucani
Alt Tipi: Eposta solucani
Etkiledigi sistemler: Windows 95, 98, ME, NT, 2000, ve XP
Virüs eposta ve ag paylasimlarini kullanarak yayiliyor. Kendisini sistemde buldugu eposta adreslerine gönderiyor ve C: den Z: ye kadar, varolan sürücülerdeki klasörlere kopyaliyor. Ayrica Mydoom.a ve Mydoom.b virüslerini durduruyor.
Virüs yerel sistemde ve agdaki paylasimlarda \'shar\' karakter dizisini içeren klasörlere kendisini kopyaliyor. Ek olarak \'share\' veya \'sharing\' kelimeleri içeren klasör isimlerini kullanan KaZaa, Bearshare, Limewire ve diger P2P uygulamalari ile de yayiliyor.
Virüsün mesaj atma bileseni yerel sistemde asagidaki uzantilara sahip dosyalardan eposta adreslerini topluyor:
· .adb · .asp · .cgi · .dbx · .dhtm · .doc · .eml · .htm · .oft
· .php · .pl · .rtf · .sht · .shtm · .msg · .tbb · .txt · .uin · .vbs · .wab
Kendisini asagidaki kelimeleri içeren adreslere göndermiyor:
· abuse · fbi · orton · f-pro · aspersky · cafee · orman .itdefender · f-secur · avp · spam · ymantec
· antivi · icrosoft
Eposta karakteristikleri:
Gönderen: Rastgele yaratilan sahte eposta adresleri (spoof ediliyor)
Konu: Konu satiri ve mesajin gövdesi büyük bir cümle listesinden rastgele seçilerek olusturuluyor.
Ek dosya: Ek dosya virüsü içeren ya bir .exe ya da zip dosyasi oluyor. Tek veya çift uzantisi olabiliyor. Ilk uzanti asagidakilerden biri olabiliyor:
· .doc · .htm · .rtf · .text
Ikinci uzanti asagidakilerden biri olabiliyor:
· .com · .exe · .pif · .scr
Boyutu: 25,352 byte
Windows kullanicilari antivirüs sistemlerini güncellemeliler. Antivirüs yazilimina sahip olmayanlar Network Associates\'in ücretsiz Stinger aracini kullanarak sistemlerini taratabilirler.